Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'toastpop02_UAC' = '%WINDIR%\d57BJSail5.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\toastpop005.exe /verysilent
- %TEMP%\is-A8S3J.tmp\toastpop005.tmp /SL5="$200E4,791224,54272,C:\toastpop005.exe" /verysilent
- %TEMP%\is-1T1NV.tmp\toastpop005.tmp /SL5="$50036,791224,54272,C:\toastpop005.exe"
- C:\toastpop005.exe
- C:\toastpop02_UAC.exe
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /F /IM winapp.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-1D1RP.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-1D1RP.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-A8S3J.tmp\toastpop005.tmp
- %TEMP%\is-1D1RP.tmp\SetupUtil.dll
- C:\toastpop02_UAC.exe
- C:\toastpop005.exe
- %WINDIR%\d57BJSail5.exe
- %TEMP%\is-1T1NV.tmp\toastpop005.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\d57BJSail5.exe
Удаляет следующие файлы:
- %TEMP%\is-1D1RP.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-1D1RP.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-1D1RP.tmp\SetupUtil.dll
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
